2024년 11월 악성코드 동향 보고서
1. 악성코드 통계
악성코드 유형별 비율
2024년 11월(11월 1일 ~ 11월 30일) 한 달간 잉카인터넷 대응팀은 국내외에서 수집된 악성코드 현황을 조사하였으며, 유형별로 비교하였을 때 “Trojan”이 60%로 가장 높은 비중을 차지했고, “Virus”가 11%로 그 뒤를 따랐다.
2. 악성코드 동향
2024년 11월(11월 1일 ~ 11월 30일) 한 달간 등장한 악성코드를 조사한 결과, 새로운 랜섬웨어 "Ymir"이 등장했다. 또한, 오스트레일리아에서 검색 엔진 최적화(SEO) 포이즈닝을 사용해 유포된 "GootLoader" 악성코드와 이란의 해커 그룹이 사용한 "WezRat" 악성코드가 발견됐다. 이 외에도 시스템 데이터를 탈취하는 "SteelFox" 악성코드와 PyPI 저장소에서 유포된 "JarkaStealer" 악성코드 소식이 전해졌다.
SteelFox – Dropper
11월 초, 보안 업체 Kaspersky가 시스템에 잠입해 암호화폐를 채굴하고 신용 카드 데이터를 탈취하는 "SteelFox" 악성코드를 발견했다. 해당 악성코드는 포럼과 토렌트 파일에서 합법적인 소프트웨어를 무료로 사용할 수 있는 크랙 도구라고 설명하면서 배포된다고 설명했다. 사용자가 악성코드를 다운로드하고 실행하면 프로그램이 'Program Files' 경로에 설치돼 자연스럽게 관리자 권한을 요청한다고 전했다. 이후, 기존 크랙 기능을 수행하며 이와 함께 획득한 관리자 권한을 악용해 취약점을 가진 드라이버를 실행하는 서비스를 생성한다고 덧붙였다. 생성한 서비스를 이용하면 NT/SYSTEM 수준으로 권한을 상승시킬 수 있고, 시스템의 리소스와 프로세스에 접속이 가능해져 공격자의 C&C 서버와 연결해 시스템의 정보를 수집한다고 언급했다.
GootLoader – Loader
11월 중순, 오스트레일리아에서 벵갈 고양이를 키우는 것의 합법성을 검색한 사용자를 대상으로 "GootLoader" 악성코드를 배포하는 캠페인이 진행됐다. 보안 업체 Sophos는 검색 키워드를 기반으로 웹 페이지에 순위를 매겨 결과를 보여주는 검색 엔진 최적화(SEO)를 악용한 것이라고 설명했다. 공격자는 SEO 포이즈닝이라고 불리는 해당 방법을 이용해 이미 감염된 합법적인 사이트를 상단에 노출시키고 사용자가 접속하도록 유도했다. 사용자가 사이트에 접속하면 공격자가 준비한 사이트로 이동하며 다단계 공격 체인을 시작하는 JavaScript 파일을 포함한 ZIP 파일이 다운로드됐다. 이에 대해 Sophos 측은 "GootLoader" 악성코드가 적어도 2020년부터 SEO를 이용해 악성 로더와 드로퍼를 다운로드하도록 유도했다고 전했다.
Ymir – Ransomware
보안 업체 Kaspersky에서 데이터를 탈취하는 "RustyStealer" 악성코드와 결합한 새로운 랜섬웨어 "Ymir"을 발견했다. 공격자는 먼저 "RustyStealer" 악성코드를 사용해 높은 권한의 계정 정보를 탈취한 후, 시스템에 접근해 "Ymir" 랜섬웨어를 유포했다. "Ymir" 랜섬웨어는 고속 암호화 알고리즘인 ChaCha20 스트림 암호를 사용해 파일을 암호화한 다음 파일명에 임의의 10자리 확장자를 추가한다. 또한, "INCIDENT_REPORT.pdf" 라는 이름으로 랜섬노트를 생성하고 레지스트리를 설정해 Windows 로그인 전에 랜섬노트 내용이 보이도록 설정한다. Kaspersky 측은 이외에도 메모리에서 실행된다는 점과 코드 주석에 아프리카 링갈라어가 사용된 특징이 있다고 설명했다.
WezRat – RAT
이란의 해커 그룹으로 알려진 Emennet Pasargad가 이스라엘 기관에 "WezRat" 악성코드를 유포한 정황이 발견됐다. 공격자는 피싱 메일을 사용해 악성코드를 유포하며 악성코드를 구글 크롬 업데이트 관련 파일이라고 속여 사용자가 설치 후 실행하도록 유도한다. 이후, 악성코드를 실행하면 사용자의 IP 주소와 이름 등을 수집해 암호화한 뒤, 공격자의 C&C 서버로 전송한다. 또한, 화면 캡쳐와 키로깅 및 파일 업로드 등의 동작을 수행하는 각각의 DLL 파일을 추가로 다운로드하고 실행한다. 보안 업체 Check Point 측은 해커 그룹이 미국과 유럽 및 중동 등을 비롯해 이란과 적대적인 기관이나 개인을 대상으로 공격하는 특징이 있다고 언급했다.
JarkaStealer – InfoStealer
11월 말, PyPI 저장소에서 인공지능 모델 관련 패키지로 위장한 "JarkaStealer" 악성코드가 발견됐다. 보안 업체 Kaspersky는 악성 패키지를 GPT-4 Turbo API와 Claude AI API에 접근할 수 있는 파일이라고 소개하면서 설치를 유도했다고 전했다. 사용자가 패키지를 설치하면 포함된 악성코드가 GitHub에서 "JarkaStealer" 악성코드를 다운로드하고 실행한다. 또한, 시스템에 Java가 설치되어 있지 않으면 드롭박스에서 JRE(Java Runtime Environment)를 다운로드해 JAR 파일을 실행한다. 최종적으로, 브라우저 정보와 시스템 정보 외에도 텔레그램과 디스코드 같은 프로그램의 세션 토큰 등을 탈취한다. 이에 대해 Kaspersky는 소프트웨어 공급망 공격은 지속적인 위험이 있어 오픈 소스 구성 요소를 개발 프로세스에 통합할 때 주의해야 한다고 강조했다.